Zielgruppe Ärzte: So versichern Makler Cyberrisiken und Nebenwirkungen

Hacker sind in Deutschland auf dem Vormarsch. Laut Zahlen des Digitalverbands Bitkom lag der durch Cyberattacken entstandene Schaden im vergangenen Jahr bei 178,6 Milliarden Euro – das waren 30 Prozent mehr als noch im Jahr zuvor. Doch während über die IT-Sicherheit von Unternehmen hierzulande mittlerweile ausgiebig diskutiert wird, bleibt eine potenzielle Opfergruppe der Cyber-Gangster gefühlt unter dem Radar: Ärzte.

Dabei steigt das Risiko für Ärzte, Opfer eines Cyberangriffs zu werden. So warnte unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer zunehmenden Anzahl an Angriffe auf die digitalen Infrastrukturen des Gesundheitswesens. Und auch Lars Huwald, Hauptkommissar beim LKA Berlin und Experte für IT-Sicherheit, warnte auf dem Fachärztetag des Spitzenverbands Fachärzte und Fachärztinnen vor einer steigenden Zahl an Angriffen. Da die Täter zumeist international, organisiert und hochprofessionell vorgingen, sollten Mediziner das Thema nicht auf die leichte Schulter nehmen, so die eindringliche Warnung.

Das gestiegene Cyber-Risiko ist die Schattenseite der Digitalisierung, die auch in vielen Praxen Einzug hält. Die Anamnese via Tablet, KI-Sprachassistenten oder Tools zur digitalen Terminvergabe machen die Abläufe in den Arztpraxen effizienter – gleichzeitig bieten sie den Tätern neue Angriffsflächen und machen die Praxen verwundbarer. Eine Forsa-Umfrage im Auftrag des GDV ergab, dass 78 Prozent der befragten Arztpraxen nach einem mehrtägigen Ausfall der IT ihre Arbeit entweder ganz einstellen müsste oder zumindest sehr stark eingeschränkt wäre. Die Umfrage wurde wohlgemerkt im Jahr 2018 durchgeführt – die Digitalisierung des Gesundheitswesens ist seitdem weiter fortgeschritten. „Uns sind Fälle bekannt – wenn auch nicht aus dem eigenen Bestand – bei denen Ärzte aufgrund eines Cyberangriffs in die Insolvenz gehen mussten“, berichtet dann auch Sören Brokamp, Leiter Produktmanagement und Underwriting Cyber der HDI Versicherung, gegenüber procontra.

Während Arztpraxen wegen der höchst sensiblen Daten, über die sie verfügen, aus Sicht der Hacker ein äußerst lukratives Ziel darstellen, machen es viele Praxen den Tätern häufig zu einfach.

Dabei gibt es seit 2021 eine IT-Sicherheitsrichtlinie, erstellt von der Kassenärztlichen Bundesvereinigung im Einvernehmen mit dem BSI, die niedergelassenen Ärzten und Psychotherapeuten dabei helfen soll, einen Basis-IT-Schutz für ihre Praxen zu etablieren. Aufgeschlüsselt nach Praxisgröße und Ausstattung legt sie bestimmte Anforderungen fest, die die Praxen zu erfüllen haben – sanktionsbewehrt ist sie allerdings nicht. Darunter fallen unter anderem das Vorhandensein einer Firewall oder die Durchführung regelmäßiger Updates und Backups. Zum 1. April wurde die Richtlinie noch einmal überarbeitet. Neu ist, dass auch die Mitarbeiter in den Praxen künftig regelmäßig geschult und fortgebildet werden sollen.

Eine Studie des BSI (SiRiPrax) kam jedoch nach der Befragung von circa 1.600 Arztpraxen zu dem Schluss, dass im Hinblick auf die Umsetzung der Richtlinie noch reichlich Luft nach oben bestehe. Lediglich ein Drittel der Befragten erklärte, alle in der Richtlinie vorgegebenen Schutzmaßnahmen vollumfänglich umzusetzen. Zugleich ergab die Umfrage, dass bereits zehn Prozent der Praxen Opfer einer Cyberattacke wurden.

Entsprechend ratsam ist es somit auch für Ärzte, über den Abschluss einer Cyberversicherung nachzudenken. „Mit Ransomware-Attacken, dem Diebstahl von Patientendaten inklusive damit verbundener Haftpflichtansprüche sowie Phishing-bzw. Fake-President-Attacken gibt es drei große Angriffsszenarien, die Ärzte für den Abschluss einer Cyberversicherung eigentlich prädestinieren“, ist Ole Sieverding, Geschäftsführer beim Spezialmakler Cyberdirekt, überzeugt. Viele Arztverbände wie beispielsweise der Virchowbund bringen das Thema ihren Mitgliedern gegenüber folglich regelmäßig zur Sprache und schärfen somit das Problembewusstsein.

Das ist im Markt bereits feststellbar. „Ärzte sind eine der am häufigsten gerechneten und abgeschlossenen Branchen auf unserem Marktvergleich“, berichtet Sieverding.

Auch der auf die Zielgruppe spezialisierte Berliner Makler Rene Bichler (Ärzte & Apothekerzentrum) berichtet von einem steigenden Problembewusstsein innerhalb der Ärzteschaft – auch weil das Thema in den entsprechenden Fachmedien immer wieder thematisiert wird. Ein weiterer Faktor sei die Übernahme von Praxen durch jüngere Ärzte. „In diesem Zusammenhang geht es häufig auch um Investitionen in die Digitalisierung der Praxis, beispielsweise in Form einer digitalen Patientenverwaltung. Zwangsläufig wird dann auch die Cyber-Sicherheit ein Thema.“

Der ebenfalls auf Ärzte spezialisierte Versicherungsmakler Christof Moissl aus dem oberbayerischen Hallbergmoos sieht vor allem bei jüngeren Ärzten eine Offenheit, sich mit Cyber-Versicherungen zu befassen. Allerdings gelte es auch hier für den Versicherungsmakler, die Kunden aktiv darauf anzusprechen. „Viele Ärzte haben das Thema auf ihrer To-Do-Liste. Doch im hektischen Praxisalltag wird die Cyber-Versicherung häufig vor sich hergeschoben.“

Doch was müssen die Produkte können, um zur Zielgruppe zu passen? Braucht es hier spezielle Bedingungswerke, um die Risiken der Zielgruppe adäquat aufzufangen? Sieverding sieht die Unterschiede vor allem im Preis und nicht im Bedingungswerk – dieses entspreche zu großen Teilen dem von „normalen“ Cyber-Policen – auch bei speziell für die Ärzteschaft angepriesenen Produkten.

Auch Makler Bichler glaubt nicht, dass Cyber-Policen für Ärzte andere Bedingungen erfüllen müssten als bei anderen Zielgruppen. Von entscheidender Bedeutung sind aus seiner Sicht die Assistance-Leistungen des Versicherers. „Gerade bei einer Cyberversicherung ist es wichtig, im Akutfall schnell Hilfe zu bekommen von jemandem, der weiß, was in einem solchen Fall zu tun ist.“

Dies gelte nicht nur im Hinblick auf den IT-Support, um die Praxis schnell wieder zum Laufen zu bekommen. Auch das Bereitstellen eines Anwalts, der sich zu Datenrechtsverstößen auskenne, sei wichtig. „Vielleicht hat der Arzt einen Anwalt – aber der muss sich womöglich erst einmal in das Datenschutzrecht einarbeiten oder einen Kollegen zu Rat ziehen. Das dauert aber“, so Bichler. Ein weiterer interessanter Leistungsaspekt aus Bichlers Sicht ist die Vermeidung von Reputationsschäden.

Für Christof Moissl spielt zudem die Schulung der Mitarbeiter eine nicht zu unterschätzende Rolle – eine Leistung, die mittlerweile im Umfang vieler Cyber-Versicherungen enthalten ist. „Es macht ja keinen Sinn, 10.000 Euro in die besten PCs zu investieren, wenn das Praxis-Team diese nicht richtig bedienen kann“, so Moissl. Hier brauche es Hilfe von außen. Auch die Möglichkeit, die Awareness seiner Mitarbeiter mittels Penetrationstests zu fördern, ist aus Moissls Sicht interessant.

Hilfreich sei zudem eine gewisse Einfachheit der Produkte im Antragsprozess sowie in der Kalkulation. „Eine Cyber-Police ist in gewissem Sinne wie ein IT-Wartungsvertrag. Die Ärzte, aber auch die meisten Makler, sind keine IT-Experten. Je einfacher das Wording ist, desto einfacher ist es für mich, einen Grundtarif zu kalkulieren. Der Kunde kann den ersten Schritt machen und überhaupt erst einmal eine Cyber-Police abschließen“, so Moissl. Genauso wichtig sei dann aber auch die Flexibilität der Versicherungen. „Für den Fall, dass ein Arzt eine zweite Praxis aufmacht oder neue technische Geräte anschafft, ist es wichtig, dass man die Police ohne Probleme auf die neuen Bedürfnisse anpassen kann.“

Preislich sind die Unterschiede zwischen den einzelnen Anbietern beträchtlich, wie ein von Cyber Direkt für procontra durchgeführter Marktvergleich illustriert. So ist für eine Urologie-Praxis mit einem Umsatz von einer Million Euro (Versicherungssumme:  500.000 Euro; Selbstbehalt: 5.000 Euro) Cyber-Schutz bereits für eine Jahresprämie von rund 500 Euro zu haben – bei anderen Anbietern liegt der Preis derweil bei 1.450 Euro.

Eine HNO-Praxis mit einem Jahresumsatz von drei Millionen Euro (Versicherungssumme: eine Million Euro, Selbstbehalt: 5.000 Euro) bekommt den Versicherungsschutz beim Preis-Leistungs-Sieger bereits ab rund 1.100 Euro – andere Anbieter verlangen bis zu knapp 2.700 Euro. Für Makler lohnt es sich, hier genau hinzuschauen. „Preis und Leistung korrelieren nicht so stark, wie man vielleicht denkt“, bemerkt Sieverding. Gerade bei Deckungsbausteinen gibt es bedeutsame Unterschiede – beispielsweise der Verzicht auf bestimmte technische Obliegenheiten, keine Risikofragen zur 2-Faktor-Authentifizierung oder zum Patchmanagement oder Einschränkungen bei Lösegeldzahlungen.

Makler, die Ärzte zum Thema Cyber-Versicherungen beraten wollen, sollten sich aber bewusst machen, dass Zeit für viele Ärzte im hektischen Praxis-Alltag ein knappes Gut ist. „Viele Ärzte haben untertags schlicht keine Zeit“, hat Versicherungsmakler Moissl beobachtet. Keine guten Voraussetzungen, um über so komplexe Fragen wie eine Cyber-Versicherung zu sprechen. „Qualitative Gespräche sind häufig erst abends oder am Wochenende möglich“, so Moissl. Er selbst hat sich auf seine Zielgruppe angepasst und zeigt sich bei der Terminvergabe sehr flexibel. „Allerdings brauchen Makler hierfür auch die nötigen Ressourcen.“